Релиз безопасности - Joomla! 1.5.6

[AntonR]

Разработчики выпустили новую версию Joomla линейки 1.5.х. Данная версия содержит исправление всего одной ошибки, но критической. Поэтому, разработчики очень рекомендуют всем пользователям Joomla 1.5 обновиться до Joomla 1.5.6. Никаких других исправлений или изменений данная версия Joomla не содержит.

Эта уязвимость позволяет неавторизованному пользователю сбрасывать пароль первого пользователя (с самым низким id). Как правило, это администратор. Отметим, то изменение имени первого пользователя может уменьшить воздействие этой уязвимости (так как человек, который изменил пароль, не знает логин, связанный с новым паролем). Однако, единственный путь полностью устранить проблему состоит в том, чтобы обновиться до Joomla 1.5.6.

Загрузить Joomla! 1.5.6 [Vusani]:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

Скачать обновление Joomla 1.5.5 до версии Joomla 1.5.6 [Vusani]
Для просмотра ссылки Войди или Зарегистрируйся

 

[Simius]

А я то голову ломал как мой друг так ловко ломал старую версию...
Спасибо большое что сюда запостили, нужное обновление

 

[Android]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Пипец они ошибочки допускают
И это уже не первый раз, не так просто джумлу оставлять на хостинге нельзя, надо как минимум закрывать хтаксексом админку...

Сцылки по теме:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

Добавлено через 16 минут
Уязвимости подвержены все версии 1.5.x включая 1.5.5.
Патчь


Обновитесь до последней версии (1.5.6 или новее), или пропачьте файл /components/com_user/models/reset.php добавив в него следующий код:
После глобального $mainframe; примерно 113 строка файла reset.php, добавить:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

 

[ELF0007]

проверил на всех своих джумловских сайтах неработает
прошелся по гуглу нашел только один сайт и то заброшенный